《Linux网络操作系统项目教程（统信UOS V20）（微课版）》项目2 配置网络和使用SSH服务

《网络服务器搭建、配置与管理——Linux（统信UOSV20）（微课版）》项目2

配置网络和使用SSH服务能力CAPACITY要求掌握常见网络服务的配置方法掌握远程控制服务掌握不间断会话服务思政IDEOLOGY导入了解为什么会推出IPv6。思政IDEOLOGY目标“路漫漫其修远兮，吾将上下而求索。”国产化替代之路“道阻且长，行则将至，行而不辍，未来可期”。青年学生更应坚信中华民族的伟大复兴终会有时！思政IDEOLOGY内容

IPv4又称互联网通信协议第四版，是网际协议开发过程中的第四个修订版本，也是此协议被广泛部署的第一个版本。IPv4是互联网的核心，也是使用最广泛的网际协议版本。IPv4使用32位（4B）地址，地址空间中只有4294967296个地址。全球IPv4地址耗尽，意思就是全球联网的设备越来越多，“这一串数字”不够用了。对于我国而言，在接下来的IPv6时代，我国存在着巨大机遇，其中我国推出的“雪人计划”（详见本书8.6节）就是一件益国益民的大事，这一计划将助力中华民族的伟大复兴，助力我国在互联网方面取得更多话语权和发展权。让我们拭目以待吧！项目设计与准备项目知识准备项目实施项目实录一、项目知识准备修改主机名统信UOSV20主机要与网络中的其他主机通信，首先要正确配置网络。网络配置通常包括主机名、IP地址、子网掩码、默认网关、DNS服务器等的设置。设置主机名是首要任务。统信UOSV20有以下3种形式的主机名（1）静态（static）主机名（2）瞬态（transient）主机名（3）灵活（pretty）主机名一、项目知识准备修改主机名方式1．使用nmtui修改主机名[root@Server01~]#nmtui一、项目知识准备修改主机名2．使用hostnamectl修改主机名（1）查看主机名[root@Server01~]#hostnamectlstatusStatichostname:Server01（2）设置新的主机名[root@Server01~]#hostnamectlset-hostname（3）查看主机名[root@Server01~]#hostnamectlstatusStatichostname:……3．使用NetworkManager的命令行接口nmcli修改主机名（1）nmcli可以修改/etc/hostname中的静态主机名。//查看主机名[root@Server01~]#nmcligeneralhostname//设置新主机名[root@Server01~]#nmcligeneralhostnameServer01[root@Server01~]#nmcligeneralhostnameServer01（2）重启hostnamed服务让hostnamectl知道静态主机名已经被修改[root@Server01~]#systemctlrestartsystemd-hostnamed一、项目知识准备修改主机名项目设计与准备项目知识准备项目实施项目实录二、项目设计与准备项目设计与准备本项目要用到Server01和Client1，完成的任务如下。（1）配置Server01和Client1的网络参数。（2）创建会话。（3）配置远程服务。其中Server01的IP地址为/24，Client1的IP地址为1/24，两台计算机的网络连接方式都是桥接模式。项目设计与准备项目知识准备项目实施项目实录三、项目实施任务2-1使用系统菜单配置网络①以Server01为例。任务栏上打开“启动器”，单击“控制中心”→“网络”→“有线网络”→“有线网卡”，在有线网卡ens32一栏右侧单击“>”，打开网络配置界面，一步步完成网络配置。过程如图。②设置完成后，单击“应用”按钮应用配置，回到图1所示的界面。注意网络连接应该设置在“打开”状态，如果在“关闭”状态，请进行修改。③再次单击齿轮按钮，显示图3所示的最终配置结果，一定勾选“自动连接”选项，否则计算机启动后不能自动连接网络.三、项目实施任务2-1使用系统菜单配置网络按同样方法配置Client1的网络参数：IP地址为1/24，默认网关为54。④在Server01上测试与Client1的连通性，测试成功。[root@Server01~]#ping1-c4PING0(0)56(84)bytesofdata.64bytesfrom0:icmp_seq=1ttl=64time=0.452ms64bytesfrom0:icmp_seq=2ttl=64time=0.241ms64bytesfrom0:icmp_seq=3ttl=64time=0.341ms64bytesfrom0:icmp_seq=4ttl=64time=0.263ms---0pingstatistics---4packetstransmitted,4received,0%packetloss,time3156msrttmin/avg/max/mdev=0.241/0.324/0.452/0.082ms三、项目实施任务2-2使用图形界面配置网络使用图形界面配置网络是比较方便、简单的一种网络配置方式，仍以Server01为例。（1）使用nmtui命令来配置网络。[root@Server01~]#nmtui将依次出现如下图形配置：三、项目实施任务2-2使用图形界面配置网络（2）按下“显示”按钮，显示信息配置框，如图所示。在服务器主机的网络配置信息中填写IP地址/24等信息，单击“确定”按钮三、项目实施任务2-2使用图形界面配置网络（3）单击“返回”按钮回到nmtui图形界面初始状态，选中“启用连接”选项，激活刚才的连接“ens32”。前面有“*”号表示激活，如图所示。三、项目实施任务2-2使用图形界面配置网络（4）至此，在统信UOSV20系统中配置网络的步骤就结束了，使用ifconfig命令测试配置情况。[root@Server01~]#ifconfigens32:flags=4163<UP,BROADCAST,RUNNING,MULTICAST>mtu1500inetnetmaskbroadcast55inet6fe80::58fc:be5e:bb2b:d086prefixlen64scopeid0x20<link>ether00:0c:29:c6:00:0atxqueuelen1000(Ethernet)……三、项目实施任务2-3使用nmcli命令配置网络1．常用命令nmcliconnectionshow：显示所有连接。nmcliconnectionshow--active：显示所有活动的连接状态。nmcliconnectionshow"ens32"：显示网络连接配置。nmclidevicestatus：显示设备状态。nmclideviceshowens32：显示网络接口属性。nmcliconnectionaddhelp：查看帮助。nmcliconnectionreload：重新加载配置。nmcliconnectiondowntest2：禁用test2的配置，注意一个网卡可以有多个配置。nmcliconnectionuptest2：启用test2的配置。nmclidevicedisconnectens32：禁用ens32网卡，物理网卡。nmclideviceconnectens32：启用ens32网卡。三、项目实施任务2-3使用nmcli命令配置网络2．创建新连接配置（1）创建新连接配置default，IP通过DHCP自动获取[root@Server01~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEens327f7ebeee-6baa-3528-b092-f4fc37273528ethernetens32[root@Server01~]#nmcliconnectionaddcon-namedefaulttypeEthernetifnameens32连接"default"(01178d20-ffc4-4fda-a15a-0da2547f8545)已成功添加。三、项目实施任务2-3使用nmcli命令配置网络2．创建新连接配置（2）删除连接[root@Server01~]#nmcliconnectiondeletedefault成功删除连接"default"(01178d20-ffc4-4fda-a15a-0da2547f8545)。（3）创建新的连接配置test2，指定静态IP，不自动连接[root@Server01~]#nmcliconnectionaddcon-nametest2ipv4.methodmanualifnameens32autoconnectnotypeEthernetipv4.addresses00/24gw454连接"test2"(e6404347-f914-4505-8cf8-ef4ab198d90e)已成功添加。三、项目实施任务2-3使用nmcli命令配置网络2．创建新连接配置（4）参数说明con-name：指定连接名字，没有特殊要求。ipv4.methmod：指定获取IP地址的方式。ifname：指定网卡设备名，也就是次配置所生效的网卡。autoconnect：指定是否自动启动。ipv4.addresses：指定IPv4地址。gw4：指定网关。三、项目实施任务2-3使用nmcli命令配置网络3．查看/etc/sysconfig/network-scripts/目录[root@Server01~]#ls/etc/sysconfig/network-scripts/ifcfg-*/etc/sysconfig/network-scripts/ifcfg-ens32/etc/sysconfig/network-scripts/ifcfg-test2/etc/sysconfig/network-scripts/ifcfg-lo三、项目实施任务2-3使用nmcli命令配置网络4．启用test2连接配置[root@Server01~]#nmcliconnectionuptest2连接已成功激活（D-Bus活动路径：/org/freedesktop/NetworkManager/ActiveConnection/3）[root@Server01~]#nmcliconnectionshowNAMEUUIDTYPEDEVICEtest2e6404347-f914-4505-8cf8-ef4ab198d90eethernetens32ens327f7ebeee-6baa-3528-b092-f4fc37273528ethernet--三、项目实施任务2-3使用nmcli命令配置网络5．查看是否生效[root@Server01~]#nmclideviceshowens32GENERAL.DEVICE:ens32……基本的IP地址配置成功。三、项目实施任务2-3使用nmcli命令配置网络6．修改连接设置（1）修改test2为自动启动[root@Server01~]#nmcliconnectionmodifytest2connection.autoconnectyes（2）修改DNS为

[root@Server01~]#nmcliconnectionmodifytest2ipv4.dns（3）添加DNS14[root@Server01~]#nmcliconnectionmodifytest2+ipv4.dns14（4）看下是否成功[root@Server01~]#cat/etc/sysconfig/network-scripts/ifcfg-test2三、项目实施任务2-3使用nmcli命令配置网络6．修改连接设置（5）删除DNS[root@Server01~]#nmcliconnectionmodifytest2-ipv4.dns14（6）修改IP地址和默认网关[root@Server01~]#nmcliconnectionmodifytest2ipv4.addresses00/24gw454（7）还可以添加多个IP[root@Server01~]#nmcliconnectionmodifytest2+ipv4.addresses50/24[root@Server01~]#nmcliconnectionshow"test2"（8）为了不影响后面的实训，将test2连接删除[root@Server01~]#nmcliconnectiondeletetest2三、项目实施任务2-3使用nmcli命令配置网络7．nmcli命令和/etc/sysconfig/network-scripts/ifcfg-*文件的对应关系nmcli命令/etc/sysconfig/network-scripts/ifcfg-*文件ipv4.methodmanualBOOTPROTO=noneipv4.methodautoBOOTPROTO=dhcpipv4.addresses/24IPADDR=PREFIX=24gw454GATEWAY=54ipv4.dnsDNS0=ipv4.dns-searchDOMAIN=ipv4.ignore-auto-dnstruePEERDNS=noconnection.autoconnectyesONBOOT=yesconnection.ideth0NAME=eth0erface-nameeth0DEVICE=eth0802-3-ethernet.mac-address...HWADDR=...三、项目实施任务2-4创建网络会话实例统信UOSV20默认使用网络管理器来提供网络服务，这是一种动态管理网络配置的守护进程，能够让网络设备保持连接状态。nmcli是一款基于命令行的网络配置工具，功能丰富，参数众多。使用它可以轻松地查看网络信息或网络状态。统信UOSV20支持网络会话功能，允许用户在多个配置文件中快速切换。在不同的使用环境中激活相应的网络会话，就可以实现网络配置信息的自动切换了。三、项目实施任务2-4创建网络会话实例使用nmcli命令并按照“connectionaddcon-nametypeifname”的格式来创建网络会话。假设将企业网络中的网络会话称为company，将家庭网络中的网络会话称为home，现在依次创建各自的网络会话。（1）使用con-name参数指定企业使用的网络会话名称company，然后依次用ifname参数指定本机的网卡名称。用autoconnectno参数设置该网络会话默认不被自动激活，以及用ip4及gw4参数手动指定网络的IP地址。[root@Server01~]#nmcliconnectionaddcon-namecompanyifnameens32autoconnectnotypeethernetip4/24gw454三、项目实施任务2-4创建网络会话实例（2）使用con-name参数指定家庭使用的网络会话名称home。我们想从外部DHCP服务器自动获得IP地址，因此这里不需要进行手动指定。[root@Server01~]#nmcliconnectionaddcon-namehometypeethernetifnameens32连接"home"(697606a6-9402-42c8-9242-f24b0f2f7740)已成功添加。三、项目实施任务2-4创建网络会话实例（3）在成功创建网络会话后，可以使用nmcli命令查看创建的所有网络会话。[root@Server01~]#nmcliconnectionshow（4）使用nmcli命令配置过的网络会话是永久生效的，这样当我们下班回家后，顺手启用home网络会话，网卡就能自动通过DHCP获取到IP地址了。下面在Server01上测试。[root@Server01~]#nmcliconnectionuphome注意：把虚拟机的网络适配器的网络连接模式切换成桥接模式，然后重启虚拟机再次测试。三、项目实施任务2-4创建网络会话实例（5）如果回到企业，则可以停止home会话，启动company会话（连接）。[root@Server01~]#nmcliconnectiondownhome（6）为避免影响后面实训，最后删除会话连接。执行“nmtui”→“编辑连接”命令，然后选中要删除的会话，单击“删除”按钮将home和company两个网络会话连接删除。三、项目实施任务2-5配置远程控制服务安全外壳（SecureShell，SSH）协议是一种能够以安全的方式提供远程登录的协议，也是目前远程管理统信UOSV20的首选方式。FTP或Telnet登入是以明文的形式在网络中传输账户密码和数据信息。三、项目实施任务2-5配置远程控制服务1．配置sshd服务SSH协议远程管理统信UOSV20系统，sshd是基于SSH协议开发的一款远程管理服务程序，提供了以下两种安全验证的方法。基于口令的验证—用账户和密码来验证登录。基于密钥的验证—需要在本地生成密钥对，然后把密钥对中的公钥上传至服务器，并与服务器中的公钥进行比较。sshd服务的配置信息保存在/etc/ssh/sshd_config文件中。三、项目实施任务2-5配置远程控制服务sshd服务配置文件中包含的参数及其作用如表：参数作用Port22默认的sshd服务端口ListenAddress设定sshd服务监听的IP地址Protocol2SSH协议的版本号HostKey/etc/ssh/ssh_host_keySSH协议版本为1时，数据加密标准（DataEncryptionStandard，DES）私钥存放的位置HostKey/etc/ssh/ssh_host_rsa_keySSH协议版本为2时，RSA（一种公开密钥密码体制）私钥存放的位置HostKey/etc/ssh/ssh_host_dsa_keySSH协议版本为2时，DSA（一种公开密钥算法）私钥存放的位置PermitRootLoginyes设定是否允许root管理员直接登录StrictModesyes当远程用户的私钥改变时，直接拒绝连接MaxAuthTries6最大密码尝试次数MaxSessions10最大终端数PasswordAuthenticationyes是否允许密码验证PermitEmptyPasswordsno是否允许空密码登录（很不安全）三、项目实施任务2-5配置远程控制服务计算机名为Server01，角色为统信UOSV20服务器，IP地址为/24。计算机名为Client1，角色为统信V20客户端，IP地址为0/24。2台设备统一采用桥接模式连接。在统信V20中，已经默认安装并启用了sshd服务程序。使用ssh命令在Client1上远程连接Server01，其格式为：ssh[参数]主机IP地址三、项目实施任务2-5配置远程控制服务（1）在Client1上操作。[root@client1~]#sshUnionTechOSServer201050eroot@'spassword:此处输入root管理员的密码……[root@Server01~]#exit注销Connectiontoclosed.三、项目实施任务2-5配置远程控制服务禁止以root管理员的身份远程登录服务器，则可以大大降低被入侵者暴力破解密码的概率。（2）在Server01SSH服务器上操作。1）第37行PermitRootLoginyes中的参数值yes改成no，这样就不再允许root管理员远程登录了。[root@Server01~]#vim/etc/ssh/sshd_config……36#LoginGraceTime2m37PermitRootLoginno38#StrictModesyes

三、项目实施任务2-5配置远程控制服务2）让新配置文件生效，手动重启相应的服务程序，加入开机启动。[root@Server01~]#systemctlrestartsshd[root@Server01~]#systemctlenablesshd三、项目实施任务2-5配置远程控制服务3）在Client1上测试。当root管理员再尝试访问sshd服务程序时，系统会提示不可访问的错误信息。[root@client1~]#sshUnionTechOSServer201050eroot@'spassword:此处输入root管理员的密码Permissiondenied,pleasetryagain.三、项目实施任务2-5配置远程控制服务2．安全密钥验证加密是对信息进行编码和解码的技术，在传输数据时，如果担心被他人监听或截获，可以在传输前先使用公钥对数据加密处理，然后再传送。只有掌握私钥的用户才能解密这段数据。三、项目实施任务2-5配置远程控制服务使用密钥验证方式，以用户student身份登录SSH服务器，具体配置如下：（1）在服务器Server01上建立用户student，并设置密码。[root@Server01~]#useraddstudent[root@Server01~]#passwdstudent三、项目实施任务2-5配置远程控制服务（2）在客户端Client1中生成“密钥对”。查看公钥id_rsa.pub和私钥id_rsa。[root@client1~]#ssh-keygenGeneratingpublic/privatersakeypair.Enterfileinwhichtosavethekey(/root/.ssh/id_rsa)://按“Enter”键或设置密钥的//存储路径Enterpassphrase(emptyfornopassphrase)://直接按“Enter”键或设置密钥的密码Entersamepassphraseagain://直接按“Enter”键或再次输入刚才的密码，保证两次一致……三、项目实施任务2-5配置远程控制服务（3）把客户端Client1中生成的公钥文件传送至服务器。[root@client1~]#ssh-copy-idstudent@……student@'spassword://此处输入服务器密码Numberofkey(s)added:1Nowtryloggingintothemachine,with:"ssh'student@'"andchecktomakesurethatonlythekey(s)youwantedwereadded.三、项目实施任务2-5配置远程控制服务（4）对服